Un análisis del malware «evasivo y tenaz» conocido como QBot ha revelado que el 25 % de sus servidores de comando y control (C2) solo están activos durante un solo día.
Además, el 50% de los servidores no permanecen activos más de una semana, lo que indica el uso de un sistema adaptable y dinámico. infraestructura C2dijo Lumen Black Lotus Labs en un informe compartido con The Hacker News.
«Esta botnet ha adaptado técnicas para ocultar su infraestructura en el espacio de IP residencial y servidores web infectados, en lugar de ocultarse en una red de servidores privados virtuales (VPS) alojados», dijeron los investigadores de seguridad Chris Formosa y Steve Rudd.
QBot, también llamado QakBot y Pinkslipbot, es una amenaza persistente y potente que comenzó como un troyano bancario antes de convertirse en un descargador de otras cargas útiles, incluido el ransomware. Sus orígenes se remontan a 2007.
El malware llega a los dispositivos de las víctimas a través de correos electrónicos de spear-phishing, que incorporan directamente archivos señuelo o contienen direcciones URL incrustadas que conducen a documentos señuelo.
Los actores de amenazas detrás de QBot han mejorado continuamente sus tácticas a lo largo de los años para infiltrarse en los sistemas de las víctimas utilizando diferentes métodos, como el secuestro de hilos de correo electrónico, el contrabando de HTML y el empleo tipos de archivos adjuntos poco comunes para deslizarse más allá de las barreras de seguridad.
Otro aspecto notable de la operación es el propio modus operandi: las campañas de malspam de QBot se desarrollan en forma de ráfagas de actividad intensa seguidas de períodos de pocos o ningún ataque, solo para resurgir con una cadena de infección renovada.
Mientras que las ondas de phishing que llevaban QBot a principios de 2023 aprovecharon microsoft una nota como vector de intrusión, los ataques recientes han empleado archivos PDF protegidos para instalar el malware en las máquinas de las víctimas.
La dependencia de QakBot de servidores web comprometidos y hosts existentes en el espacio de IP residencial para C2 se traduce en una breve vida útil, lo que lleva a un escenario en el que surgen de 70 a 90 servidores nuevos en un período de siete días en promedio.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«Qakbot conserva la resiliencia al reutilizar las máquinas de las víctimas en C2», dijeron los investigadores, y agregaron que repone «el suministro de C2 a través de bots que posteriormente se convierten en C2».
De acuerdo a datos lanzado por Team Cymru el mes pasado, se sospecha que la mayoría de los servidores Qakbot bot C2 son hosts comprometidos que se compraron a un corredor externo, la mayoría de ellos ubicados en India a partir de marzo de 2023.
El examen de Black Lotus Labs de la infraestructura de ataque ha revelado además la presencia de un servidor de conexión posterior que convierte un «número significativo» de los bots infectados en un proxy que luego puede publicitarse para otros fines maliciosos.
«Qakbot ha perseverado al adoptar un enfoque práctico de campo para construir y desarrollar su arquitectura», concluyeron los investigadores.
«Si bien es posible que no dependa de números absolutos como Emotet, demuestra destreza técnica al variar los métodos de acceso inicial y mantener una arquitectura C2 residencial resistente pero evasiva».